我正在尝试在 openSUSE 上“强制” IPSec (StrongSwan) 流量。在 OpenBSD 上,使用 IKE 守护进程iked和数据包过滤器pf,我采用了如下规则集,以确保只有封装的流量通过接口,如果隧道关闭,实际上会阻止所有流量:
block on vio1
block on enc0
pass in on vio1 proto udp from 10.1.1.2 to 10.1.0.2 \
port {500, 4500}
pass out on vio1 proto udp from 10.1.0.2 to 10.1.1.2 \
port {500, 4500}
pass in on vio1 proto esp from 10.1.1.2 to 10.1.0.2
pass out on vio1 proto esp from 10.1.0.2 to 10.1.1.2
pass in on enc0 from 10.1.1.2 to 10.1.0.2 \
keep state (if-bound)
pass out on enc0 from 10.1.0.2 to 10.1.1.2 \
keep state (if-bound)
我找不到如何在基于防火墙的 GNU/Linux 系统中使用此类规则集的说明,但可能是我找错了术语。如果可能的话,我想使用本机的防火墙命令,但是如果这些命令不足以捕获 ESP 数据包,我认为也可以使用“丰富”规则。
非常感激任何帮助。